Introducción y contexto

Una de las múltiples facetas del forense informático es la de garantizar la certeza en el uso de una imagen digital que pretende utilizarse como evidencia en una investigación de carácter legal, siendo el análisis forense de imágenes digitales un escenario de importante relevancia para determinar el origen y la autenticidad de una fotografía, con el propósito de relacionar a un individuo con un dispositivo, lugar o evento.

En este contexto, los retos que enfrenta el analista consisten principalmente en determinar el origen de la fotografía digital, conocer la marca, modelo y dispositivo específico utilizado para generar la fotografía, así como si se ha añadido, eliminado o modificado el contenido en la imagen.

¡Cuidado si os llega esto por Whatsapp!

 

Metodología

Las siguientes 4 fases componen una propuesta de procedimiento operativo estándar (POE) totalmente abierto y susceptible por parte del lector a mejoras, correcciones o cambios.

Fase 1: Recomendaciones iniciales

El punto de partida es la adquisición de la evidencia (ficheros de imágenes -con formato JPEG/PNG preferiblemente), por duplicado para garantizar su integridad.  En el caso de que estemos operando con equipos de sobremesa o estaciones de trabajo, asimismo es recomendable utilizar herramientas portables (que no requieren de su instalación para funcionar) para realizar capturas de pantalla y no alterar la información de registro del sistema operativo.

Además, se debe llevar a cabo la definición y manejo adecuado de la cadena de custodia (tanto de la fuente de las imágenes como de los dispositivos utilizados para su almacenamiento), el resguardo de la evidencia y la caracterización del dispositivo móvil de estudio.

Fase 2: Definición del escenario de trabajo

En este punto, la organización de la información es fundamental para la obtención de resultados favorables. Por ello, se deben considerar los posibles escenarios: una imagen relacionada con un dispositivo, múltiples imágenes asociadas a un dispositivo o varias imágenes relacionadas con múltiples dispositivos.

Fase 3: Análisis y desarrollo

A continuación se introducirán varias técnicas de análisis de la información de las imágenes. El lector tiene que tener en cuenta que en el análisis forense de imágenes digitales no hay una técnica mágica que permita obtener una conclusión categórica y que, en la mayoría de los escenarios, será necesario aplicar más de una y cruzar los resultados con información geográfica, personal, etc.

  • Metadatos: La primera técnica de análisis es por metadatos, en la cual se extraen los datos de marca y modelo del objeto de estudio, los mismos que son comparados con la información de una imagen de referencia. En este proceso el analista debe considerar otros elementos técnicos, como la versión del software utilizado, geolocalización o fecha de adquisición, de tal manera que esta información se pueda correlacionar con otros eventos. Aunque se trata de un análisis básico, es posible que la imagen haya sido alterada, incluso con la modificación de los metadatos, por lo que debe apoyarse de otras técnicas.
  • Análisis por matriz de cuantización o cuantificación: Para la aplicación de esta técnica también se requiere una referencia que permita llevar a cabo una comparación, pero en este caso se contabilizan y extraen las matrices de cuantización de cada imagen. También conocida como matriz de cuantificación, se trata de un conjunto de valores utilizados para la representación de dicha imagen; en este análisis son cotejados el número y contenido de cada matriz. Al igual que en el caso anterior, si existe una modificación de la imagen o los dispositivos caracterizados son de la misma marca y modelo, se requiere emplear otro tipo de análisis como PRNU.
  • Análisis de ruido de foto respuesta no uniforme (PRNU): El ruido de foto respuesta es una característica de cada sensor en una cámara digital. En este análisis se requiere contar con imágenes planas (bajo las mismas condiciones de luz y sin escena) con el dispositivo, que permite generar un patrón PRNU de referencia. Posteriormente, se obtiene el patrón PRNU de la imagen a analizar y se contrasta a través de un proceso de correlación. Una imagen digital adquirida con el dispositivo en cuestión obtiene un valor de correlación cercano a uno, mientras que para imágenes que no fueron obtenidas con el dispositivo analizado, los valores de correlación tienden a cero e incluso pueden ser negativos.
  • Análisis de zonas clonadas, copiadas o movidas:  Una técnica muy habitual en la manipulación de fotografías digitales es eliminar elementos, que deben ser sustituidos por un fondo. Para esta técnica habitualmente es necesario copiar elementos de una parte de la escena en otra, lo que se suele conocer como “clonado” de motivos. Un fenómeno de “clonado” o copiado de elementos dentro de la escena provoca que ciertos patrones se repitan dentro de la escena. Por desgracia, las herramientas que implementan esta técnica sólo arrojan resultados determinantes en casos muy ideales, siendo sencillo trucar una imagen para que las áreas clonadas sean indetectables.
  • Error Level Analysis (ELA): Este tipo de análisis basado en la distorsión de elementos de un fichero de imagen cuando se comprime (por ejemplo a JPEG), sólo funciona con propiedad en casos muy concretos: imágenes JPEG con diferentes niveles o ciclos de comprensión. Si se edita sobre otros formatos, y finalmente se convierte a JPG, el ELA no va a revelar nada especialmente legible, salvo que se hayan utilizado imágenes con comprensiones JPEG muy extremas.
  • Análisis por Componentes Principales (PCA, Principal Components Analysis): Esta técnica estadística básicamente consiste en reducir la redundancia de la información en imágenes multiespectrales para resaltar los cambios o alteraciones que ha sufrido una imagen. Como se trata de un análisis con una profunda carga matemática que se escapa al ámbito de este artículo, si el lector quiere profundizar en el tema, puede leerse este paper.
  • Análisis de KLTs: Técnica estadística basada en las transformadas de Karhunen-Loève que, al igual que la anterior, nos permite poner en énfasis cambios de frecuencias, matiz o cromatismo del color, etc.
  • Búsqueda de inconsistencias: puntos de vista, sombras, etc. que es lo único que no es falseable a nivel de pixel.

Fase 4: Informe técnico

La última fase del procedimiento consiste en la generación de un informe ejecutivo y técnico sobre los resultados de las comparaciones, a partir del procedimiento operativo estándar. En esta última fase se plasma en un documento la información arrojada por los diferentes análisis aplicados a las imágenes de estudio.

Herramientas software

Búsqueda inversa de imágenes

Visores de EXIF (metadatos)

  • Jeffrey’s Exif Viewer: http://regex.info/exif.cgi: es una de las mejores herramientas que además de Exif, utiliza otros estándares para ver los metadatos de otro tipo de formatos.
  • Metapicz: http://metapicz.com/#landing: ésta es de las que más me gusta. Es limpia, rápida y suele dar bastante información.
  • Online Exif Viewer: http://exif-viewer.com/: muy sencilla, pero funciona bien.
  • Online photo EXIF metadata reader: http://www.findexif.com/#results: lo que más me gusta de ésta es que organiza fenomenal el contenido.
  • EXIF Viewer: http://www.prodraw.net/online-tool/exif-viewer.php: el problema que tiene ésta es que sólo te permite cargar imágenes y no consultar directamente desde una URL.
  • Exif Data: http://exifdata.com/: lo más potente de ésta es que es rapidísima y también te presenta los datos de un modo muy ordenado, aunque en forma de lista hacia desplegable, por lo que no es tan fácil ver el mapeo inicial.
  • EXIFTool: http://es.ccm.net/download/descargar-32898-exiftool es una herramienta de línea de comandos capaz de leer y editar los metadatos de una amplia variedad de formatos de imágenes, así como archivos de música, videos o texto. Es compatible con metadatos de tipo EXIF, GPS, IPTC, XMP, JFIF, GeoTIFF, ICC Profile, Photoshop IRB y muchos otros más.
  • Camera Summary: http://camerasummary.com/: lo más importante de ésta es que no guarda ningún tipo de información sobre la imagen que se consulta. Su valor añadido es la seguridad de la información de sus usuarios. El único problema es que no admite imágenes vía URL.

Webservice para determinar si una imagen fue alterada

Capturas de pantalla con validez legal en un juicio

eGarante es una compañía con sede en Madrid que se especializa en la certificación de emails, datos fundamentales y contenidos en paginas web. El contenido que certifican tiene capacidad probatoria en un proceso judicial, lo cual quiere mencionar que podemos usarlo en un juicio como prueba. Casos de uso de su herramienta (la cual tiene dos planes de pago) pueden ser:

  • Si alguien nos acosa o amenaza a través de Internet
  • Si alguien roba o plagia vuestro trabajo y necesitamos pruebas
  • Para recoger pruebas de un delito en Internet y remitirlas a las fuerzas de protección del estado

Las instrucciones de uso e información más detallada se pueden consultar en este post.

Suites de análisis forense de imágenes

Web

Self-hosted

Deja un comentario

Este sitio usa Akismet para reducir el spam. Conoce cómo se procesan los datos de tus comentarios.